Print:

Informatiebeveiliging: wat is uw plan van aanpak?

Ferry Waterkamp, Journalist

LinkedIn profiel

Security-incidenten zoals een datalek of een verstoring van de dienstverlening als gevolg van een DDoS-aanval kunnen een organisatie duur komen te staan. Hoe voorkom je dat een security-incident resulteert in een publieke vernedering, een beschadigd klantvertrouwen of zelfs een miljoenenboete?

Geregeld gaat het mis

De veiligheid van informatie is een hot issue: lekken in informatiesystemen zijn wekelijks in het nieuws. Zo liep de reputatie van zowel headhunter Michael Page als van ICT-partner Capgemini een flinke deuk op toen bleek dat de persoonsgegevens van ruim 700.000 sollicitanten op straat hadden gelegen. In een excuusmail aan de gedupeerden – onder wie ook Nederlanders – biechtte Page de nogal knullige oorzaak op. De persoonsgegevens van sollicitanten waren vrijelijk in te zien op een ontwikkelingsserver.

Een datalek bij de gemeente Amersfoort had bijna politieke consequenties. Op 28 januari van dit jaar ging het mis toen een medewerker van de gemeente een e-mail met bijlage naar de verkeerde persoon stuurde, waardoor de zorggegevens van zeker 1800 Amersfoorters in verkeerde handen vielen. De betrokkenen en de Autoriteit Persoonsgegevens (AP) werden echter pas in april op de hoogte gesteld. Deze gang van zaken bracht de verantwoordelijke wethouder in het nauw.

Het College van Beroep voor het bedrijfsleven (CBb) bewees half november dat een lek ook tot een forse boete kan leiden. Het CBb oordeelde dat het KPN is te verwijten dat een hacker in 2012 klantgegevens kon inzien. Dit incident was voor KPN echt een wake-upcall en heeft geleid tot het krachtige CISO-office dat KPN nu heeft. Het bedrijf moet nu echter nog wel een boete van 364.000 euro betalen.

Boetes stijgen

Dat bedrag is nog maar een schijntje van de maximale boete die de AP vanaf 25 mei 2018 kan opleggen. Vanaf die datum zal de Algemene Verordening Gegevensbescherming die inmiddels van kracht is ook worden toegepast. Nu al kan de AP een boete tot maximaal 820.000 euro uitdelen bij het verzwijgen van een ernstig datalek. Vanaf de genoemde datum stijgt de maximale boete tot 20 miljoen euro of vier procent van de wereldwijde jaaromzet.

Risico’s herkennen

Om dergelijke boetes te voorkomen, is het belangrijk dat een organisatie de eigen risico’s herkent en beheerst. Zo moet duidelijk zijn waar de ‘kroonjuwelen’ zich bevinden, wat de bedreigingen zijn voor die kroonjuwelen en hoe het is gesteld met de bescherming ervan. Er moet als het ware een thermometer in de eigen organisatie. Als je niet weet waar je kwetsbaar bent, kun je jezelf immers ook niet verdedigen.

Ook moet een organisatie investeren in een informatiebeveiligingsbeleid. Dit beleid kan worden vertaald in een plan waarin bijvoorbeeld aan bod komt hoe de toegangsrechten en het autorisatiebeheer zijn geregeld, hoe incidenten worden afgehandeld en hoe gegevens worden beschermd.

Opleiding Informatiebeveiliging

De punten uit het informatiebeveiligingsplan komen ook uitgebreid aan bod tijdens de zesdaagse opleiding Informatiebeveiliging van IIR’s ICT Academy. Tijdens deze opleiding, die 6 december van start gaat, krijgen de deelnemers alle technische aspecten van informatiebeveiliging onder de knie. Meer weten of direct inschrijven? Kijk dan op: Opleiding Informatiebeveiliging

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten